Shiro入门-授权初步

最新推荐文章于 2024-07-07 03:42:33 发布
最新推荐文章于 2024-07-07 03:42:33 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: Shiro 文章标签: shiro 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28988969/article/details/69062707
版权

这一节是属于授权的内容,我们的例子是要说明如何判断主体是否有相应的角色和权限。

判断主体是否有相应的角色和权限

  • 判断主体是否有相应的角色
  • 判断主体是否有相应的权限

判断主体是否有相应的角色和权限

先把上一节写好的登录逻辑封装成一个工具类:

public class ShiroUtil {

    public static Subject login(String configFile,String userName,String passwoord){
        // 注意:这里 SecurityManager 所在的包名
        // 读取配置文件,初始化SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory(configFile);
        SecurityManager securityManager = factory.getInstance();
        // 把 securityManager 的实例绑定到 SecurityUtils 上
        SecurityUtils.setSecurityManager(securityManager);
        // 得到当前执行的用户
        Subject currentUser = SecurityUtils.getSubject();
        // 自己创建一个令牌
        UsernamePasswordToken token = new UsernamePasswordToken(userName,passwoord);
        try {
            // 身份认证
            currentUser.login(token);
            System.out.println("身份认证成功");
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        return currentUser;
    }
}

判断主体是否有相应的角色

配置文件片段:

[users]
#表示内存中有一个用户(用户名 demo1,密码 1234),他的角色是 role1 、role2
demo1=1234,role1,role2
demo2=1234,role1

我们可以看到一个用户具有的角色是通过一个字符串的集合来表示的。

测试代码:

public class RoleTest {


    /**
     * 测试是否有角色,测试方法 hasRole
     */
    @Test
    public void testHasRole(){
        Subject currentUser = ShiroUtil.login("classpath:shiro.ini","demo1","1234");
        System.out.println(currentUser.hasRole("role1"));
        System.out.println(currentUser.hasRole("role2"));
        // 测试是否分别有三个角色
        boolean[] results = currentUser.hasRoles(Arrays.asList("role1","role2","role3"));
        for(boolean result:results){
            System.out.println(result);
        }
            // 区别上面的方法,下面的方法测试的是,一个角色是否同时拥有指定的几个角色                 System.out.println(currentUser.hasAllRoles(Arrays.asList("role1","role2")));
        System.out.println(currentUser.hasAllRoles(Arrays.asList("role1","role2","role3")));
        currentUser.logout();
    }


    /**
     * 与上面的方法的不同之处在于,角色验证没有通过,抛出运行时异常
     */
    @Test
    public void testCheckRole(){
        Subject currentUser = ShiroUtil.login("classpath:shiro.ini","demo1","1234");
        currentUser.checkRole("role1");
        currentUser.checkRole("role2");
        currentUser.checkRoles(Arrays.asList("role1","role2"));
        // 下面的代码抛出 org.apache.shiro.authz.UnauthorizedException 异常
        currentUser.checkRoles("role1","role2","role3");
    }
}

判断主体是否有相应的权限

配置文件片段:

[users]
demo1=123456,role1,role2
demo2=123456,role1
[roles]
role1=user:select
role2=user:add,user:update,user:delete

测试代码:

public class PermissionTest {

    @Test
    public void testIsPermitted(){
        Subject currentUser = ShiroUtil.login("classpath:shiro.ini", "demo1", "1234");
        System.out.println(currentUser.isPermitted("user:select"));
        System.out.println(currentUser.isPermitted("user:update"));
        System.out.println(currentUser.isPermitted("user:add"));
        System.out.println(currentUser.isPermitted("user:delete"));
        // 测试是否分别有指定的权限
        boolean[] results = currentUser.isPermitted("user:select","user:update","user:add","user:delete");
        for(boolean result:results){
            System.out.println(result);
        }
        // 测试是否拥有全部的权限
        System.out.println(currentUser.isPermittedAll("user:select","user:update","user:add","user:delete"));
        currentUser.logout();
    }


    @Test
    public void testCheckPermitted(){
        Subject currentUser = ShiroUtil.login("classpath:shiro.ini", "demo", "1234");
        currentUser.checkPermission("user:select");
        currentUser.checkPermissions("user:select","user:update","user:add","user:delete");
        currentUser.logout();
    }
}

Shiro 支持三种方式的授权:
编程式:通过写if/else 授权代码块完成:

Subject subject = SecurityUtils.getSubject();
if(subject.hasRole(“admin”)) {
//有权限
} else {
//无权限
}

注解式:通过在执行的Java方法上放置相应的注解完成:

@RequiresRoles("admin")
public void hello() {
//有权限
}
//方法返回 字符串,字符串就是逻辑视图名,Model作用是将数据填充到request域,在页面展示
@RequestMapping(value="/editItems",method={RequestMethod.GET})
@RequiresPermissions("item:update")//执行此方法需要"item:update"权限 
public String editItems(Model model,Integer id)throws Exception{}

JSP/GSP 标签:在JSP/GSP 页面通过相应的标签完成:

<shiro:hasRole name="admin">
<!— 有权限—>
</shiro:hasRole>
Jsp页面添加:
<%@ tagliburi="http://shiro.apache.org/tags" prefix="shiro" %>

标签名称    标签条件(均是显示标签内容)
<shiro:authenticated>                       登录之后
<shiro:notAuthenticated>                    不在登录状态时
<shiro:guest>                               用户在没有RememberMe时
<shiro:user>                                用户在RememberMe时
<shiro:hasAnyRoles name="abc,123" >         在有abc或者123角色时
<shiro:hasRole name="abc">                  拥有角色abc
<shiro:lacksRole name="abc">                没有角色abc
<shiro:hasPermission name="abc">            拥有权限资源abc
<shiro:lacksPermission name="abc">          没有abc权限资源
<shiro:principal>                           显示用户身份名称
<shiro:principal property="username"/>     显示用户身份中的属性值

配置shiro-permission.ini
shiro-permission.ini里边的内容相当于在数据库 

 #用户
[users]
 #用户zhang的密码是123,此用户具有role1和role2两个角色
zhang=123,role1,role2
wang=123,role2

 #权限
[roles]
 #角色role1对资源user拥有createupdate权限
role1=user:create,user:update
 #角色role2对资源user拥有createdelete权限
role2=user:create,user:delete
 #角色role3对资源user拥有create权限
role3=user:create

标识符号规则:资源:操作:实例(中间使用半角:分隔)
user:create:01 表示对用户资源的01实例进行create操作。

user:create:表示对用户资源进行create操作,相当于user:create:*,对所有用户资源实例进行create操作。

user:*:01 表示对用户资源实例01进行所有操作。

流程
当调用controller的一个方法,由于该 方法加了@RequiresPermissions(“item:query”) ,shiro调用realm获取数据库中的权限信息,看”item:query”是否在权限数据中存在,如果不存在就拒绝访问,如果存在就授权通过。

当展示一个jsp页面时,页面中如果遇到,shiro调用realm获取数据库中的权限信息,看item:update是否在权限数据中存在,如果不存在就拒绝访问,如果存在就授权通过。

问题:只要遇到注解或jsp标签的授权,都会调用realm方法查询数据库,需要使用缓存解决此问题。

写写代码AAA
关注
专栏目录
shiro入门
trasewell的博客
09-25 910
目录: 1.pom.xml 2.applicationContext.xml 3.applicationContext-mybatis.xml 4.SpringBaseTest 5.优化分页 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4...
shiro简介及入门
qq_44847231的博客
10-13 577
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro完成工作3. shiro架构Shiro入门案例Shiro与web容器的集成 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
Shiro 入门教程
让我们荡起双桨的博客
06-07 2244
一、名词解释 1、Subject:即" 当前操作用户 "。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。 2、SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。 3、Realm:Realm充当了Shiro与应用安全
Java 修改shiro里面user的参数
最新发布
weixin_41268813的博客
07-07 44
如何实现Java修改shiro里面user的参数 介绍 你好,作为一名经验丰富的开发者,我很高兴能够教你如何实现“Java 修改shiro里面user的参数”。在本文中,我将为您详细介绍整个流程,并提供每一步所需的代码示例和注释。 流程 以下是实现“Java 修改shiro里面user的参数”的步骤: 步骤 操作 ...
Shiro入门使用
yjt520557的博客
02-19 369
1. 什么是shiro  shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。    spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。    shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,    分布式系统权限管...
shiro入门(一)
qq_43059674的博客
10-12 151
Shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shi...
Spring Boot和Shiro入门教程-基础概念和环境搭建
Shiro是一个强大且灵活的Java安全框架,可以提供身份认证、权限授权、会话管理等安全功能。它采用简单直观的API,可以轻松地与任何Java应用程序集成,并且对企业级应用程序的安全需求提供了完善的解决方案。 ###
开发知识点-JAVA-springboot+Spring Security/Shiro
aming小老弟
02-18 555
Spring 还提供了一个名为 Spring Security 的子项目,用于处理应用程序的安全需求。Spring Security 可以与 Shiro 集成,以提供更强大的安全功能。Shiro 提供了一套灵活的安全管理功能,可以处理用户身份验证、访问控制、会话管理等任务。因此,可以说 Shiro 是一个独立的安全框架,而 Spring 平台可以与 Shiro 一起使用来增强应用程序的安全性。Shiro 和 Spring 平台是两个不同的项目,它们可以在一起使用来提供安全认证和授权功能。
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
ApacheShiro10分钟入门教程
01-27
通过10分钟的快速入门,你将能够理解Shiro的核心概念,并开始在你的项目中使用它来处理身份验证、授权、加密和会话管理,提升你的应用安全性。继续深入学习Shiro的其他特性,如Remember Me服务、密码策略、多因素...
Shiro学习第一式身份验证1(HelloWorld)
02-23
总的来说,"Shiro学习第一式身份验证1(HelloWorld)" 是一个入门级教程,旨在引导开发者初步接触 Shiro 框架,并掌握其基本的认证流程。通过实践这个示例,你将能够更好地理解 Shiro 如何在 Java 应用中处理用户...
Shiro入门(一)
小狐狸的博客
04-04 816
0. Shiro是什么? 简单的来说 Apache Shiro 是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、加密和会话管理。 shiro的四大基石 Authentication(认证):用户身份识别,通常被称为用户“登录” Authorization(授权): 访问控制。比如某个用户是否具有某个操作的使用权限。 Session Management(会话管理): 特定于用户的会话管理,甚至在非web 或 EJB 应用程序。 Cryptography(加密): 在对数据源使用加密
JavaWeb:shiro入门小案例
Un_stoppable的博客
08-22 2551
学习原因:刚接触Javaweb的时候懂的很少(当然现在也不多),所以开发一个小项目都是自己从头写到尾,从登录界面一直到数据库,当时想以后开发要是都这么写那不是很枯燥?!…知道后来团队开发,接触的开发人员多了(都是学生),但是真的从不同的人身上能学到很多东西,直到有一天知道了shiro,没想到竟还有这种东西,真是B了*了…哈哈哈,废话说完了,下面开始。 1、什么是shiro? Apache Sh...
Shiro入门
Brooks Lv
09-30 425
什么是shiro? 一句话概括就是,shiro是Apache的一个开源安全框架,可以替我们完成身份认证、对用户执行访问控制,如判断用户是否具有某个角色,判断用户是否拥有访问的资源权限、加密解密、单点登录及Remember Me服务 等等。 认证、授权 认证和授权shiro的两个非常重要的概念。 认证就是登录的时候判断你的用户名和密码是否正确以及是否完全匹配。 授权就是在认证的基础上给用户进行角色...
shiro 入门
客人
02-28 255
一、概述Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下:(1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或...
Java私塾《深入浅出学Shiro》-权限管理精品教程
接着,教程进入Shiro入门阶段,讲解了Shiro的基本概念、功能、架构,以及如何编写第一个"HelloWorld"程序,让学习者对Shiro初步的认识。 在Shiro的配置部分,教程涵盖了程序配置和INI配置,包括各个组件的配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值